2020年,中国的1大数据产业与上年相比增长了近19%,市场规模达到6390亿元人民币(898亿美元)。2从其经济价值来看,它在推动创新和促进融合方面发挥了重要作用,数据保护方面的法律法规相当模糊,中国最近发布了一系列法律法规,旨在规范和促进数据的保护和合理使用,特别是在跨境数据传输方面。
2022年6月24日,国家信息安全标准化技术委员会(TC260)发布了网络安全标准实施指南个人信息跨境处理认证技术规范,为跨境数据处理认证提供了基本框架和指导。2022年6月30日,中国网络空间管理局发布了《个人信息跨境传输标准合同规定》草案,提供了标准合同条款供参考。此外,2022年7月7日,CAC发布了出站数据传输安全评估措施(评估措施),提供了更详细的实施措施。根据这些条例,建立了三种处理机制:(一)当局的安全评估,(二)授权协会的认证,以及(三)提供者和接收者之间签订标准合同。
然而,政府对跨境数据传输施加了限制。例如,《中华人民共和国网络安全法》规定,关键信息基础设施运营商在中国运营期间,通常必须存储在中国境内收集和生成的个人信息和重要数据,并且必须对跨境数据传输进行安全评估。此外,《评估措施》规定,在特定情况下,在进行跨境数据传输之前,数据处理者必须对风险进行自我评估,并申请安全评估。
除其他事项外,这些法律法规要求在中国存储在中国运营期间生成和收集的个人信息和重要数据,除非在计划的数据传输之前,已满足某些特定标准,例如中国政府当局完成的官方安全评估。
这些法规可能会抑制公司向国外市场扩张的能力,或禁止公司在不增加大量成本的情况下继续在这些市场提供服务。多个司法管辖区要求的不确定性和变化带来了许多潜在风险:可能会增加合规成本,延迟或减少对公司服务的需求,限制公司在特定地点提供服务的能力,以及影响客户在特定司法管辖区使用服务的能力。此外,它还可能使公司受到私人行为者的索赔和诉讼,以及数据保护监管机构的调查、诉讼和制裁,这可能对公司的业务、经营成果和财务状况产生不利影响。
此外,尽管公司努力使其产品和平台符合适用的法律法规,但这些义务和其他义务可能会被修改;它们可能在不同的司法管辖区以不一致的方式进行解释和应用,或者可能与其他监管要求、合同承诺或公司惯例相冲突。
此外,从事涉及数据活动的业务的公司必须遵守各种中国和国际法律法规,包括有关隐私、网络安全和数据保护的法律法规,其客户可能需要遵守与处理和传输某些类型的敏感和机密信息有关的规定。公司平台未能遵守或使其客户未能遵守适用法律法规可能会损害公司的业务、经营成果和财务状况。因此,预计这些公司将致力于保护其客户的数据和隐私,并设计数据收集、传输、存储和使用协议,以确保遵守适用的法律法规。此类公司与其客户签订的协议需要包含保密条款,根据该条款,公司有义务不披露或以其他方式盗用其客户或最终用户的数据和信息。此外,这些公司需要采取安全预防措施来维护其技术基础设施,保护其数据和信息,并致力于升级其安全计划,以更好地满足不断增长的客户需求、更新的法规要求以及不断变化的安全威胁环境。还建议他们执行有关系统操作和维护、信息安全和管理以及数据备份和灾难恢复的政策。
随着中国网络安全和数据保护相关法律法规的不断发展,可能会有不同的解释,不同的立法和监管机构可能会扩大现有法律法规,或制定新的法律法规,涉及隐私、网络安全和信息保护相关事宜。我们预计,中国和其他司法管辖区将继续提出新的法律,以及自律机构的新规则、有关隐私、数据保护和信息安全的法规和行业标准。此外,我们继续看到司法管辖区实施数据本地化法律,要求个人信息或个人信息的某些子类别存储在来源地司法管辖区。
为了提醒潜在的违规制裁,2022年7月21日,CAC对中国叫车巨头滴滴环球公司(DiDi Global,Inc.)处以80亿元人民币(12亿美元)的罚款,理由是其“数据管理行为严重影响了国家安全”,该公司忽视了“遵守具体要求和避免监督等违规行为”。“据推测,DiDi因其对跨境数据传输的非法行为而被罚款。考虑到当局的此类举措,对于那些寻求在中国投资的公司,或者已经在中国开展业务并开展跨境数据传输活动的公司,或寻求海外IPO的中国公司,这一点变得越来越重要,掌握有关中国现行法律法规的第一手信息,以便遵守这些法规。
- 登录 发表评论